OWASP OWTF Web测试框架

  • A+
所属分类:网络安全工具
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。

OWASP OWTF是一个专注于渗透测试效率和安全测试与OWASP测试指南(v3和v4),OWASP Top 10,PTES和NIST等安全标准一致的项目。

OWASP OWTF Web测试框架

更有效地查找,验证和组合漏洞有时间调查复杂的漏洞,如业务逻辑/架构漏洞或虚拟主机会话对看起来有风险的地区进行更多的战术/目标模糊测试尽管我们通常会给予测试的时间很短,但仍能证明真实的影响。该工具是高度可配置的,任何人都可以简单地创建简单的插件或在配置文件中添加新测试,而无需任何开发经验。

注意:这个工具不是一个silverbullet,只会和使用它的人一样好:理解和经验将需要正确解释工具的输出,并决定进一步调查以展示影响。

OWTF是在KaliLinux和macOS上开发的,但它是为Kali Linux(或其他Debian衍生产品)开发的,

OWTF同时支持Python2和Python3。

 

安装

  1. pip install git+https://github.com/owtf/owtf#egg=owtf or clone the repo and python setup.py install

推荐:

强烈推荐使用virtualenv!

pip install git+https://github.com/owtf/owtf#egg=owtf 或克隆回购和 python setup.py install

要在Windows或MacOS上运行OWTF,请使用提供的Dockerfile(需要安装Docker)来尝试。

 

OWTF:

make docker-build

make docker-run

打开~/.owtf/conf并更改SERVER_ADDR: 127.0.0.1为SERVER_ADDR: 0.0.0.0。

创建一个virtualenv virtualenv env并激活它source env/bin/activate。

安装并运行OWTF

  1. $ cd owtf /
  2.   #安装开发版本,以便所做的任何更改立即反映出来。
  3.  $ python setup.py开发
  4.  #运行OWTF!
  5.  $ python -m owtf

打开localhost:8009OWTF Web界面。

 

在OSX上安装

  1. $ virtualenv < venv name >
  2.  $ source  < venv name > / bin / activate
  3.  $ brew安装coreutils gnu-sed openssl
  4.  #我们需要先安装'cryptography'以避免问题
  5.  $ pip install cryptography --global-option = build_ext --global-option = “- L / usr / local / opt / openssl / lib ”-- global-option = “ -I / usr / local / opt / openssl / include “
  6.  $ git clone < this repo >
  7.  $ cd owtf
  8.  $ python setup.py install
  9.  #运行OWTF!
  10.  $ python -m owtf

为了运行这些工具,安装它们并将OWTF配置~/.owtf/conf/general.cfg指向正确的位置。

 

特征

弹性:如果一个工具崩溃OWTF,将移动到下一个工具/测试,保存该工具的部分输出,直到它崩溃。

灵活性:暂停并恢复您的工作。

测试分离:OWTF将其目标流量分为3类插件:

被动:没有流量进入目标

半被动:正常流量到达目标

活动:直接漏洞探测

广泛的REST API。

几乎完成了OWASP测试指南(v3,v4),前10名,NIST和CWE的覆盖。

Web界面:轻松管理大型渗透事件。

互动报告:

工具输出中的自动插件排名,可由用户完全配置。

可配置的风险排名

每个插件的在线笔记编辑器。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz
CE安全网

发表评论

您必须登录才能发表评论!